腾讯云公告 > 公告详情
扫码查看公告
【安全通告】MeterSphere 远程代码执行漏洞风险通告
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, 飞致云官方发布安全通告,披露了其MeterSphere产品存在远程代码执行漏洞。可导致远程代码执行等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
MeterSphere 是一站式开源持续测试平台, 涵盖测试跟踪、接口测试、性能测试、 团队协作等功能,全面兼容 JMeter、Postman、Swagger 等开源、主流标准。
据官方描述,该漏洞可允许攻击者在未授权的情况下远程执行任意代码
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致任意代码执行
影响版本
MeterSphere >= v1.13.0, <= v1.16.3
安全版本
MeterSphere >= v1.16.4
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
官方链接:https://github.com/metersphere/metersphere/releases/tag/v1.16.4
如果您的服务器可以访问互联网, 可以通过以下命令直接升级 metersphere 至最新版本:
msctl upgrade
官方链接:https://github.com/metersphere/metersphere/releases/tag/v1.16.4
如果您的服务器可以访问互联网, 可以通过以下命令直接升级 metersphere 至最新版本:
msctl upgrade
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://github.com/metersphere/metersphere/releases/tag/v1.16.4
2022-01-06